ChrisF007

Hallo, So langsam explodiert mein Kopf wegen folgendem Problem: Für eine von uns entwickelte WebAnwendung verwenden wir ADFS zur Anmeldung. Jetzt wollen wir einem Kunden Zugriff darauf geben und nutzen einen Federation Trust zwischen seiner und unserer Domain. Soweit so gut... Da wir für die Anmeldung an der Anwendung noch spezielle Attribute benötigen, nutzen wir Shadow Accounts bei uns. Dazu mappen wir die Mail aus seiner Domäne auf einen Shadow Nutzer bei uns. Das funktioniert per folgender Claim Regel im Federation Trust: c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] => issue(store = "Active Directory", types = ("NAMEID"), query = "mail={0};employeeNumber;DOMAIN\sa_adfs$", param = c.Value); Er findet einen Nutzer mit derselben Mail und gibt das AD Attribute EmployeeNumber aus. Jetzt gibt es aber auch Nutzer beim Kunden ohne Mail. Daher wollen wir final den SAMAccountNamen nutzen um entsprechend ein "unique" Attribut zum Matchen zu haben. In meiner Naivität dachte ich, dass das ja analog zur oberen Regel folgendermaßen funktionieren sollte: c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("NAMEID"), query = "sAMAccountName={0};employeeNumber;DOMAIN\sa_adfs$", param = c.Value); Tut es nur leider nicht. Weiß jemand, wo mein Denkfehler liegt? Danke, Chris

Moin an alle, die heute auch schuften müssen :D Wir nutzen für unsere Cloud eine komplette RDS Umgebung. D.h. inklusive RD WebAccess und RDS Gateway um Kunden zu verbinden. Soweit alles prima. Jetzt haben wir den ersten Kunden, der per Trust mit seinen Konten sich verbinden möchte. Dafür haben wir einen selective Outgoing Trust zu seiner Domäne aufgebaut. Per Domain Lokaler Gruppe haben wir eine Sicherheitsgruppe aus seiner Domäne für unsere Terminal Server freigeschaltet. Das funktioniert auch prima. Nutzer die über eine VPN verbunden sind, können sich also per RDP anmelden. Jetzt kommt die Schwierigkeit: Wir bekommen diese Nutzer nicht über das RDS Gateway auf den Terminal Server. Soweit ich gelesen habe, ist dafür ein Two Way Trust erforderlich. Ist das die einzige Möglichkeit das RDS Gateway zu überreden, Nutzer aus der Kundendomain zu authentifizieren? Das ist (erstmal) aus Kundensicht nicht gewünscht. Sofern es aber kein andere Möglichkeit gibt, muss ich mit der IT des Kunden in den Infight gehen ;-) Eventuell stand ja schon mal jemand vor diesem Problem und hat ein paar Tipps oder Ratschläge. Danke, Chris

Hallo an die Experten :) Wir stehen hier gerade vor einer Herausforderung. Folgende Konstellation: Wir betreiben eine Anwendung bei AWS. Das Ganze ist recht klassisch. Eigenes AD und eine komplette RDS Umgebung inklusive Web-Access für Kunden. Bisher waren dort eher kleine Kunden unterwegs, die mit Accounts aus dem dortigen AD gearbeitet haben Nun bekommen wir einen neuen und recht großen Kunden dazu. Dieser möchte die Accounts aus seinem AD nutzen. Soweit so gut... Das wäre bis hierhin erst mal mit einem klassischen Trust möglich. Allerdings ist das AD des Kunden ein Azure Active Directory. Und da gehen bis dato keine Trusts. Jetzt die Frage... kann ich ADFS nutzen? Für den RD Web-Access stelle ich mir das noch recht simpel vor. Aber würde das auch für Anmeldung an den RD-Session Hosts gelten? Danke und Grüße, Chris

Firewall kann es hierbei ja nicht sein. Wir kapseln mit Easy Print ja innerhalb von 3389. MS wollte mir nicht helfen. a) gibt es keinen Fehler und b) unterstützt der professional Support keine Erst-Konfiguration. Wenn ich als nicht bereit bin, den Premier-Support zu nutzen, kann mir niemand dort weiterhelfen. Bin bedient... /edit Hab jetzt ein sauberes Image aus dem Licensing Center gezogen und installiert. Dazu die aktuelle VMWare Tools Version drauf gepackt... konfiguriert, getestet und... Läuft! D.h. dass das IBM Image, was wir bekommen haben, irgendwo ne Meise haben muss. Zumindest hab ich jetzt ne funktionierende Vorlage zum Clonen der Server :) Wochenende ist gerettet ^^

Natürlich. Anforderungen sind alle erfüllt. Das Druckermapping ist natürlich ebenfalls erlaubt. Getestet sowohl per Setting in der Session Collection als auch per GPO. Jedesmal das gleiche Ergebnis. Testweise Easy Print mal deaktiviert und mit installiertem Treiber getestet... Ebenfalls kein Glück. Im Technet können sie mir auch nicht weiterhelfen... Alle Windows Updates installiert. Ebenfalls kein Glück. Einzige Fehlerquelle die ich noch sehe ist die Version des Easy Print Treibers. Der ist auf unserer IBM Umgebung älter als bei Amazon. Aber auch die Windows Updates haben daran nichts geändert. Ich mach dann mal einen Call bei MS auf. Ich berichte dann...

Moin, Clients sind Windows 7. RDP Version ist 6.2. Die Drucker sind meist Netzwerkdrucker. Das interessante ist, dass die Ports für die Drucker gemappt werden: Aber eben ohne Treiber... Im Eventlog gibt es absolute Stille was Printer oder Easy Print Meldungen angeht. Gibt es da vielleicht noch irgendeinen Debug-Modus den ich anschalten kann um den gesamten Logon Prozess im RDS zu verfolgen? Grüße, Chris

Wir hosten die Farm für einen Kunden. Der hat ca. 800 Nutzer verteilt über x-dutzende Standorte mit einem unglaublichen Wildwuchs an Druckern. Die Daten alle handisch zu erfassen und entsprechend die Treiber zu installieren wäre eine monatelange Arbeit. Also quasi sind wir prädestiniert für den Einsatz von Easy Print. Und unter 2008 hatten wir nicht ein einziges Problem in Jahren damit... Darum ist es so extrem ärgerlich, dass es mit 2012 jetzt nicht mehr läuft. Ich hab auch testweise mal eine 2012 R2 Umgebung unter Amazon EC2 aufgebaut... Lief tadellos... Drucker wurden sofort und ohne irgendwelche Tricks und Kniffe gemappt. Es muss also prinzipiell gehen. Ich hab zwischen den beiden Umgebungen noch einen stark variierenden Patch-Stand festgestellt. Das versuche ich mal als erstes grade zu ziehen. Aber viel Hoffnung, dass ausgerechnet das die Lösung bringt hab ich nicht. Ich freunde mich mit dem Gedanken eines Rollbacks an...

Wobei im von dir genannten Thread es ja um gemappte Drucker und Printserver geht. Das ist es ja genau, was ich nicht mache. Und auch gar nicht könnte. Ich muss zwingend Easy Print verwenden. Und in der Mitte steht auch, dass jemand aus Verzweiflung zu Easy Print gewechselt ist. Es scheint also möglich zu sein.

Ich verwende Easy-Print... Oder vielmehr möchte es ;-) Daher auch keine Treiber nötig. Lief wie gesagt mit der identischen 2008er Umgebung perfekt...

Moin liebe Foristen, Ich bin jetzt langsam mit meinem Latein am Ende... Ausgangssituation ist folgende: Wir haben eine prima funktionierende 2008R2 Terminal Server Landschaft, bei der auch das Printer Redirecting wunderbar funktioniert. Wir haben eine parallele 2012 R2 Umgebung und mit exakt gleichen Einstellungen funktioniert das nicht mehr. Ich habe folgendes versucht: Setzen der Einstellungen zum Printer Redirect per GPO -> Kein Erfolg Ohne GPOs direkt in der Session Collection -> kein Erfolg Installation der Print Service Rolle -> kein Erfolg Es wird einfach kein Printer gemappt. Im RDP Client ist soweit auch alles eingestellt. Das Event Log ist absolut still. Da wird nicht ein einzige Nachricht gemappt außer dass der XPS Drucker zum Standard-Drucker gemacht wird bei Anmeldung. Clipboard und Drive Redirection funktioniert einwandfrei... Habt ihr noch eine Idee, wo ich noch schauen könnte? Google hab ich auch schon rauf und runter, aber nix brauchbares dabei. Danke und Grüße, Chris

Huch... Das geht also auch mit 2003... Sehr schön. Ich hatte immer nur gelesen, dass die 417 fürs Upgrade von 2008 auf 2012 genutzt werden kann. Das sind ja gute Neuigkeiten. Vielen Dank!

Moin, Der Thread-Titel verrät es ja schon und ich befürchte auch die Antwort zu kennen ;-) Aber gibt es überhaupt noch Upgrade Pfade für 2003er Zertifizierungen? Egal ob über 2008 als Zwischenschritt oder direkt. Danke und Grüße, Chris

Hallo Jan, Vielen Dank. Das sieht recht interessant aus. ich schau mir das mal an. Grüße, Christian

Hallo, Vielleicht seh ich den Wald vor lauter Bäumen nicht... Aber gibt es eine Möglichkeit Remote Apps den Zugriff auf lokale Programme zu ermöglichen? Frage unserer Entwickler: Wir haben unsere Standard-Anwendung auf einem Terminal Server laufen. Als neues Feature soll per klick eine Email erstellt oder eine Telefonnummer angerufen werden. Auf dem Terminal Server haben wir diese Anwendungen natürlich nicht (z.B. Outlook). Nun ist die Frage, ob es überhaupt möglich ist, dass die App auf die lokalen Programme zugreifen könnte? Mir fällt nix ein und google liefert mir auch nicht wirklich was... Grüße, Chris

Hallo, Unser Kunde stellt uns folgende Aufgabe: Wir haben eine TS Farm, die aktuell noch mit 2008 R2 läuft und Ende des Jahres auf 2012 R2 umgestellt wird. Aktuell haben wir per GPO konfiguriert, dass jeder User nur eine Session haben darf. Jetzt möchte der Kunde allerdings einer bestimmten Gruppe von Usern das Recht geben, mehr als eine Session zu haben, während die restlichen User weiterhin auf eine Session beschränkt sind. In 2008 R2 würde ich das über einen zusätzlichen RDS Listener lösen. Also eine zusätzliche virtuelle IP vergeben und den 2. RDP Listener da draufhängen. In 2012R2 scheint dass durch die fehlende RDS Listener Konfiguration schon schwieriger zu werden. Session Collection fällt auch flach. Da kann ich jeden Server ja nur genau einer Collection zuweisen und mehrfachanmeldungen werden in der Collection auch nicht vereinbart... Wie würdet ihr das Problem lösen? Bin für jede Idee dankbar! Grüße, Chris

Hallo an alle, Ich habe ein kleines Verständnisproblem bei der Umstellung einer 2008 R2 Terminal Server Farm auf 2012 R2. Szenario bisher: 20 Terminal Server aufgeteilt in 2 Gruppen a 10 Server. Dies ist notwendig um verschiedene Anwendungen bereitzustellen. 2 Session Broker als Cluster. Eine GPO die die entsprechenden Terminal Server den 2 Gruppen des Session Broker zuordnet. Soweit so gut... Das Ganze soll nun auf Server 2012 R2 umgestellt werden. Microsoft hat die Session Broker Funktionsweise ja umgestellt. Ich kann nun keine Gruppen mehr per GPO vergeben. Geht das wirklich nur, wenn ich ein Gateway Server noch mit reinbringe und die RD-Cap's entsprechend einstelle? Das muss doch auch ohne Gateway funktionieren. Wir verwenden ausschließlich direkte RDP Aufrufe aus dem MPLS. Ein Gateway wäre also im Grunde nur unnötiger Balast. Oder geht Microsoft hier wirklich den Weg, Verbindungen nur über ein Gateway zu balancen? Vielen Dank und viele Grüße, Chris Ähm... Vergesst es ;-) Die Collections sind ja vom Broker gesteuert und nicht vom GAteway. Also alles klar soweit. Dann geht's natürlich ohne Gateway.

Huhu :) Ich verzweifel gerade etwas an Microsofts Umschreibung zum Thema: Multiple Logins per User. es geht um folgendes: In unserer gehosteten Umgebung (Windows Remote Desktop Services mit Windows Server 2008 R2) haben wir ein Monitoring für einen Kunden bereitgestellt. Um auf dieses Monitoring zu zugreifen, habe ich RD-WebAccess aktiviert und einen Firefox veröffentlicht. Der tut nix weiter als eine Webseite darstellen. Soweit so gut... Nun verwenden aber diverse User des Kunden diese Webseite. Um hier nicht zwingend mit named Usern für den Zugriff zu arbeiten, dachte ich mir, deaktiviere ich die Option: "Restrict Session to a single User " in den Remote Session Host Configuration. Das klappt insofern, als das jetzt 2 User gleichzeitig die Remote App nutzen können. Kommt jedoch ein dritter dazu, wird er aufgefordert, eine der beiden ersten Sessions zu übernehmen. Kann ich das noch irgendwie ändern? Wir restriktieren den Zugriff auf max. 10 concurrent Sessions. ABer eben mit nur einem user. Ich hoffe es ist klar, was ich meine :)? Grüße, Chris

Der Kunde hat mit uns einen Vertrag. Er zahlt monatlich an uns. Vertragspartner im VL-Vertrag ist der Hoster (IBM). VL Vertrags-Art ist mir noch unbekannt. Ich bin auch der Meinung, dass wir nur mit SPLA hier weiterkommen. Grüße, Chris

Vielen Dank schon mal für die Antworten und die Folien. Das Szenario ist das folgende: Hardware und auch Microsoft Lizenzen wurden über das Datacenter (in dem Falle IBM) gekauft. 18 physische Server und Volumenlizenzen ohne SA. Ich gehe mal stark davon aus, dass IBM ein SPLA Agreement besitzt. Die Infrastruktur wird ausschließlich für einen Kunden genutzt. Dieser greift per RDP auf die Terminalserverfarm oder per Webclient auf die Apaches zu. Wir administrieren ausschließlich. Datacenter Partner (IBM) -> Wir (Administration) -> Customer A

Ah vergessen zu erwähnen ;-) Die Datenbankserver werden genau aus dem Grund nicht virtualisiert und verleiben auf separaten physischen Maschinen. Wir hatten das Oracle Audit Vergnügen schon ;-) Noch eine Anmerkung... Die Excel Lizenzen will der Kunde bezahlen.

Hallo erst mal :) Unsere Firma hat den Auftrag erhalten für einen unserer Kunden die gesamte "Betriebsführung" zu übernehmen. D.h. wir hosten für den Kunden eine spezielle Applikation inkl. der Betriebssystem und alles was dazu gehört. Vom Kunden wurde uns dafür ein externes Rechenzentrum vor die Nase gesetzt in dem wir die Lösung hosten müssen. Folgende Voraussetzungen: Die Hardware wurde von uns gekauft und wird beim Hoster im Rack betrieben. Es sind 18 physikalische Maschinen mit 4 CPUs und 48 Kernen. Die Umgebung wird ausschließlich für das Hosten der Applikation für den Kunden genutzt. Keine Interne Nutzung außer der Administration der Lösung. Es gibt RDP Zugriffe auf eine Terminal Server Farm per MPLS vom Kunden. Des Weiteren Webzugriffe per mobilen Devices vom Kunden über das Internet. Auf den Terminal Servern wird Excel genutzt. Als Webserver werden Apaches eingesetzt (unter Linux) und es läuft eine Oracle Umgebung. Der Session Broker für die Terminal Server Farm wird mit einem SQL Standard betrieben. Die Umgebung ist virtualisiert unter VMware. Bevor ich auf das Projekt geworfen wurde, wurden folgende Lizenzen gekauft: 900 Windows Server CALs ohne SA 900 RDS CALs ohne SA 36 Windows Server Standard ohne SA 2 Microsoft SQL Server Standard Core Licenes ohne SA Ich bin überhaupt kein Experte in Sachen Microsoft Lizenzen, aber das sieht auch für mich sehr schräg aus. Nun die Frage... Würde in diesem Falle die Lizenzmobiliät von SA überhaupt Sinn machen oder muss sowieso auf eine SPLA Lizenz gegangen werden? Und wie verhält es sich für Excel? Da wurde soweit ich das jetzt im ersten Überfliegen gesehen habe, noch gar nix unternommen. Vielen Dank und viele Grüße, Chris